Wypłynęły dane tysięcy pracowników skarbówki. Nie doszłoby do tego gdyby resort cyfryzacji nie ignorował apeli UODO
Firma EuroCert, dostarczająca usługi m.in. podpisu kwalifikowanego padła ofiarą ataku cyberprzestępców. W jego wyniku wyciekły dane m.in. pracowników KAS, w tym przede wszystkim numery PESEL i numery dowodów osobistych. Stało się to mimo, że Urząd Ochrony Danych Osobowych kilkukrotnie zwracał się do ministra cyfryzacji o zmiany legislacyjne w temacie ujawniania numeru PESEL przy podpisie elektronicznym.
O sprawie donosi Związkowa Alternatywa:
Masowy wyciek danych pracowników KAS! Pracownicy Krajowej Administracji Skarbowej zwracają się do nas masowo z problemem dotyczącym ujawniania numeru PESEL przy podpisie elektronicznym. Ponadto w ostatnim czasie nastąpił cyberatak na dostawcę usług Eurocert, co wzmożyło ich niepokój
Opieszałość resortu cyfryzacji
Skutki ataku nie byłyby takie druzgoczące, gdyby Ministerstwo Cyfryzacji nie ignorowało kilkukrotnych apeli UODO o zmianę w prawie dotyczącą ujawniania numeru PESEL przy podpisie elektronicznym. Numer PESEL jest pozyskiwany przez dostawców usług zaufania publicznego (kwalifikowanego podpisu elektronicznego), a następnie upubliczniany. Nie wynika to jednak ani z przepisów europejskich, ani krajowych. Jak czytamy w październikowym komunikacie Urzędu:
W świetle rozporządzenia eIDAS kod identyfikacyjny certyfikatu powinien opierać się na numerze z rejestru publicznego, który jednoznacznie identyfikowałby osobę posługującą się kwalifikowanym podpisem elektronicznym. W ocenie organu nadzorczego nie musi być to numer PESEL lecz inny identyfikator. PESEL jest daną wyjątkową, przypisaną obywatelowi dla jego indywidulanych relacji z państwem – nie tylko identyfikuje w sposób unikalny osobę fizyczną, ale pozwala na ustalenie szeregu dodatkowych informacji o niej, takich jak płeć czy wiek osoby.
Jak podkreśla UODO, przepisy prawa nie przewidują obowiązku ujawniania numeru PESEL w dokumencie opatrzonym podpisem elektronicznym.
Także RODO w art. 6 ust. 1 lit. c odnosząc się do jednej z podstaw legalizujących przetwarzanie danych stanowi, że przetwarzanie jest zgodne z prawem jedynie w sytuacji, jeżeli jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. O ile więc zasadnym jest użycie numeru PESEL w przypadku weryfikacji osoby wnioskującej o wydanie certyfikatu kwalifikowanego podpisu elektronicznego, to zdecydowanie wątpliwe jest ujawnianie tej informacji innym osobom uzyskującym dostęp do treści podpisu.
– czytamy dalej.
Poszkodowani pracownicy KAS
W wyniku ataku na EuroCert wykradzione mogły zostać dane takie jak: imiona i nazwiska, numery PESEL, serie i numery dowodów osobistych, dane kontaktowe oraz wizerunki osób.
Pracownicy KAS często używają elektronicznego w swojej pracy i permanentnie stresują się tym, że odbiorca decyzji widzi ich PESEL. Atak na Eurocert przelał czarę goryczy. Jako związek wystąpiliśmy do ministra cyfryzacji o podjęcie odpowiednich działań oraz do Szefa KAS o wsparcie (pisma w załączeniu). Skarbówka jest częścią infrastruktury bezpieczeństwa kraju! Oczekujemy od rządu natychmiastowej reakcji!
– podkreśla Agata Jagodzińska, przewodnicząca Związkowej Alternatywy w KAS.
Pracownicy KAS, których dane zostały ujawnione, zostali narażeni na ryzyko wyłudzeń, oszustw finansowych i innych przestępstw.
Związkowa Alternatywa zwróciła się z apelem do ministra cyfryzacji o podjęcie pilnych działań mających na celu usunięcie danych wrażliwych, takich jak numer PESEL oraz numer dowodu osobistego, z kwalifikowanych podpisów elektronicznych.
MD